Kiloex, decentralizirana razmjena (DEX) za trgovanje vječnim budućnosti, pogodio je sofisticirani napad ranije u utorak, zbog čega su korisnici napustili gubitke od oko 7 milijuna dolara.
Eksplozija se odvijala u više blockchain mreža i činilo se da proizlazi iz ranjivosti u Oracle System platformu, po blockchain analiziskoj tvrtki Cyvers.
Napadač, koristeći novčanik koji se financira kroz tornado gotovinu – alat koji zatamnjuje staze transakcija – izveo je niz transakcija na bazi, BNB lancu i Taiko mrežama kako bi iskoristio nedostatak u sustavu Oracle u platformi, što je omogućilo da napadač manipulira cijenama imovine.
Kiloex je od tada potvrdio kršenje, suspendiralo operacije platforme i sada surađuje s partnerima na praćenju ukradenih sredstava i crne liste napadača.
Oracles su alati temeljeni na blockchainu koji prenose bilo koju vrstu vanjskih podataka u blockchain, gdje pametni ugovori koriste te podatke za donošenje odluka za financijsku primjenu. Odnosno, Oracle kaže za platformu da li Ether (ETH) vrijedi 2.000 ili 3.000 dolara, osiguravajući da se trgovine događaju po fer tržišnim cijenama.
Ali oraci mogu biti slaba veza. U slučaju Kiloexa, napadač je iskoristio ranjivost pristupa Oracle pristupu – u osnovi, nedostatak koji im je omogućio da sudjeluju na podacima koristeći flash zajmove (ili privremenu likvidnost) koji su sustav prevarili u vjerovanje lažnim cijenama.
Napadač je manipulirao Oracleom da prijavi apsurdno nisku cijenu za ETH (recimo, 100 USD) prilikom otvaranja trgovačkog položaja. Leverage omogućava trgovcima da posuđuju sredstva za pojačavanje svojih oklada, tako da lažna cijena može stvoriti ogromna izobličenja.
Zbog toga su izgledali kao da su ostvarili veliku zaradu, što su potom povukli iz kilograma. Napadač je to ponovio preko baze, BNB lanca i Taika, iskorištavajući Kiloexovo postavljanje unakrsnog lanca kako bi maksimizirao dobitak prije nego što platforma može reagirati.
U jednoj prijavljenoj transakciji, napadač je u jednom potezu postigao 3,12 milijuna dolara.
Ovo nije prvi put da je DeFi platformu pogodio Oracle Manipulal. Slični napadi ciljali su platforme poput mango tržišta 2022. godine, gdje je ukradeno 100 milijuna dolara, a vrhnja u 2021. godine, s gubicima od 130 milijuna dolara.
